Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Prywatność danych (https://safegroup.pl/forum-14.html) +--- Wątek: Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników (/thread-11298.html) |
Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników - ichito - 02.01.2018 Końcowa roku przyniosła dość spektakularne odkrycie o wykradaniu haseł logowania z menadżerów haseł popularnych przeglądarek, a sprawę na naszym gruncie wydaje się, że najpierw nagłośnił AVLab w artykule z 29 grudnia [Aby zobaczyć linki, zarejestruj się tutaj] W artykule tym padła liczba 45 polskich domen, na których taki proceder wykryto, a wszystkie związane z firmą OnAudience, której przedstawiciel oficjalnie udzielił odpowiedzi na pytanie AVLCytat:Jako firma specjalizująca się w Big Data marketingu robimy wszystko, by nie tylko gromadzić jak najwięcej istotnych informacji o zainteresowaniach internautów, lecz również by chronić ich prywatność zapewniając im pełną anonimowość. W informacji opublikowanej przez portal Freedom-to-Thinker.com, wkradła się nieścisłość. Nie gromadzimy adresów e-mail użytkowników Sieci, lecz ich skróty wygenerowane przez funkcję haszującą. W tym przypadku jest to powszechnie znany algorytm MD5. Zakodowane w ten sposób skróty były wykorzystywane do zamawiania wysyłek w zewnętrznych bazach mailingowych w ramach e-mail retargetingu. W tym przypadku skrypt zbierał dane dla platformy BehavioralEngine.com, która kończy działalność. Oświadczenie niejako stoi w sprzeczności z informacjami, które opublikowała wczoraj Z3S Cytat:Polski skrypt wykrada login (najczęściej adres email), liczy jego skrót MD5 i wysyła do swojego serwera. Zbiera także takie dane przeglądarki jak listę wtyczek, obsługiwane typy plików, rozmiar ekranu, język, strefę czasową, wersję przeglądarki oraz informacje o systemie operacyjnym i procesorze. Pomaga to stworzyć unikatowy wzorzec umożliwiający śledzenie wykorzystania tej przeglądarki w sieci. Najważniejszy dla narzędzia śledzącego jest jednak adres email – identyfikuje on konkretnego użytkownika, bez względu na to, czy zmienia przeglądarkę, komputer, czy surfuje z domu czy z wakacji, czy z telefonu czy z laptopa. Co prawda firma twierdzi, że „nie zbiera danych osobowych”, ale śmiemy twierdzić, że skrót MD5 adresu email w przypadku wielu użytkowników można bardzo łatwo (w czasie kilku godzin) odwrócić atakiem słownikowym. Co prawda nie przeprowadzaliśmy takich testów, ale obstawiamy, że dla bazy polskich adresów email prosty atak słownikowy w oparciu o najpopularniejsze loginy, imiona i nazwiska oraz najpopularniejsze domeny pocztowe pozwoli zgadnąć przynajmniej 80 jak nie 90% adresów. A lista polskich domen poniżej...brawo Wykop i Polska Agencja Prasowa...brak komentarza wykop.pl money.pl tekstowo.pl dziennik.pl gazetaprawna.pl forsal.pl fotosik.pl auto.com.pl audiostereo.pl drhtv.com.pl szkolnictwo.pl pap.pl facetemjestem.pl nf.pl ising.pl pajacyk.pl domy.pl windows7forum.pl slowka.pl auto.pl gpwinfostrefa.pl analizy.pl profesor.pl 12zawodnik.pl inwestycje.pl e-podatnik.pl astromagia.pl wkuwanko.pl kreskowka.pl szafunia.pl pap.com.pl prawnik.pl damsko.pl sztuka-architektury.pl archinea.pl superpracodawca.pl wrozka.com.pl e-logistyka.pl weranda.pl rolpetrol.com.pl artinfo.pl anglisci.pl w210.pl tuningforum.pl codogara.pl Źródło [Aby zobaczyć linki, zarejestruj się tutaj] RE: Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników - adrian.sc - 02.01.2018 Nieprawdopodobne jest to, że tłumaczenie firmy...: "Nie gromadzimy adresów e-mail użytkowników Sieci, lecz ich skróty wygenerowane przez funkcję haszującą. W tym przypadku jest to powszechnie znany algorytm MD5. " ... nie ma żadnego znaczenia. Czy jest to e-mail nieszyfrowanym tekstem, czy hash, tak czy inaczej da się profilować użytkownika w oparciu o ten unikalny ciąg znaków. A przecież o to chodzi - o odsprzedaż danych pozwalających na targetowane reklamy, często niestety za zgodą użytkownika, który korzystając z serwisu X akceptuje jego politykę prywatności z automatu. RE: Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników - ichito - 03.01.2018 Pewnie tak, a tłumaczenie wysłali jakby mieli do czynienia z amatorami...może nie wiedzieli, do kogo piszą? RE: Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników - M'cin - 05.01.2018 Z jednej strony mnie to nie rusza - coraz większa część internetowego biznesu opiera się na śledzeniu użytkownika i reklamie profilowanej na podstawie Big Data, anonimizowanych, które można bardzo łatwo zdeanonimizować. Z drugiej strony, chwalenie się hashowaniem MD5 byłoby wystarczające około 2000 roku. Teraz media mówią., że hashcat + tablice tęczowe i można takie sumy odwracać. A biorąc pod uwagę, ile spamu dostaję na pocztę, to to nie jest dobre RE: Niektóre polskie serwisy mogą wykradać dane logowania i śledzić użytkowników - Quassar - 05.01.2018 No ja z 7 lat temu zmieniłem poczte bo taki ku*** okrutny spam miałem.. dodatkowo musiałem mieć publiczne adres poczty na stronie co w ogóle było niezłą pożywką dla szperających spam botów -,- |